[发明专利]一种基于有序包的迭代式病毒检测方法

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种基于有序包的迭代式病毒检测方法。

背景技术

随着互联网的发展和普及，通过网络进行病毒传播的比例正逐步攀升，伴随它而来的是越来越突出的信息安全问题。目前的检测手段大致分为两种：基于包的检测和基于流的检测。

基于包的检测不足之处：对特征码的质量有较高的需求(例如：特征码的长度不能过长，而特征码复杂度在一定程度上又依赖于特征码的长度)；由于没有保存包与包之间的上下文关系而无法对传输的文件进行格式识别以及格式处理，而格式识别及处理恰恰是保证精确检测的手段之一；对于特征跨越在两个包或多个包之间的情况较难处理。

基于流的检测不足之处：需要还原出具体的文件，因此内存资源占用极大；还原文件影响了检测效率。

发明内容

针对以上不足，本发明要解决的问题是提供一种病毒检测方法，该方法可以在资源占用较小的情况下，兼顾了检测的精确度和效率。

为了解决上述技术的问题，本发明提供了一种病毒检测方法，包括：

a、分配缓冲区；

b、检测包数据；

c、释放缓冲区。

进一步的，步骤a中，分配缓冲区并将缓冲区地址返回给调用者，缓冲区用来保存在检测过程中产生的中间状态数据。

步骤b中，检测包数据，在检测过程中要确保传入的包是有序的。

进一步的，结合上一次保存的中间结果及当前检测结果得出判定结果

步骤b具体包括：

b1、读取上一次保存的中间状态；

b2、检测本次给出的包数据，并将当前检测的中间状态结果进行保存；

b3、根据上一次的中间状态及当前检测结果得出判定；

进一步的，步骤b2具体包括：

检查上一次保存的中间状态数据，判定是否根据上一次的中间状态确定待检测数据的范围，如果无法确定检测范围则检测整个包数据，结合上一次的中间状态及本次检测结果保存当前状态。

步骤c中，在尾包检测完成之后释放缓冲区。

本发明在基本上不损失检测效率的情况下，减少了资源占用，提高了检测的精确度。由于只需保留部分中间状态及检测结果，无需缓冲全部数据，相比较流检测而言减少了资源占用。因为保留中间状态避免了单包检测中无法获取包与包之间的上下文关系，提高了检测的精确度。

附图说明

图1为本发明所述的基于有序包的迭代式病毒检测方法的具体实施流程图；

图2为本发明的应用实例的流程图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

在本发明中利用了在一组有序包中，包之间具有关联性(即有序)这一特点，设备首先确保包的有序性，然后可以在此基础上进行检测处理。

本发明的基于有序包的迭代式病毒检测方法如图1所示，步骤如下：

A、如果是传入的数据是首包，则分配缓冲区用来保存中间状态及检测结果

B、解析上一次保存的中间状态，获得文件格式、待检测的位置、已检测的长度、上一次的检测结果等

所述的中间状态数据包括但不限于文件格式、待检测的位置、已检测的长度、上一次的检测结果等以及其它与检测相关的数据

C、根据上一次保存的中间状态进行检测，根据当前检测结果及上一次的中间状态合并给出检测结果

D、保存当前的中间状态数据，将当前的检测的中间状态结果与上一次保存的中间状态合并保存，用于下次迭代检测使用

E、返回检测结果及中间状态数据，如果检测结果确定为病毒则无需进行迭代检测

F、如果传入的数据是尾包，则结束检测，释放缓冲区。

下面用本发明的一应用实例进一步加以说明。

假定传入的数据包为有序的，传输的文件为PE文件，待检测的位置为代码节，应用实例的具体实施步骤如图2所示，包括：

步骤201、获取包数据，得到当前传输的包数据内容。

步骤202、获取上一次保存的中间状态，所述的中间状态数据包括但不限于文件格式、待检测的位置、已检测的长度、上一次的检测结果等，以及其它与检测相关的数据。

步骤203、解析中间状态数据及包数据并对包数据进行检测，解析中间状态数据，利用上一次的中间状态数据进行检测。

比如通过解析上一次的中间状态获得代码节的位置、代码节的大小以及通过目前已检测的长度判定是否需要续继检测等。